La compañía de software de seguridad europea, ESET, descubrió que las descripciones de algunas listas de reproducción de la plataforma de streaming de música más popular del mundo contienen contenido malicioso diseñado para infectar los dispositivos de los usuarios.

Una investigación reciente ha encendido las alarmas de los usuarios de Spotify, luego de que un equipo conformado por especialistas en ciberseguridad de ESET revelara que algunos hackers están utilizando la famosa plataforma de streaming de música como medio para propagar malware mediante enlaces fraudulentos que son insertados en descripciones de listas de reproducción y episodios de podcasts, lo que representa una nueva amenaza para los usuarios desprevenidos.

¿Cómo los hackers aprovechan Spotify para lanzar ataques de malware?

Según los expertos de la firma de software de ciberseguridad con sede en Eslovaquia, esta novedosa táctica de ciberataque tiende a ser altamente efectiva debido al posicionamiento privilegiado que tiene Spotify en los motores de búsqueda. “Como los resultados provienen de un sitio lícito, es más probable que las personas hagan clic sin sospechar del peligro”, explicó un especialista en ciberseguridad de ESET.

Además, los investigadores subrayan que al buscar en Google cuestiones relacionadas con descargas de software gratuito, cracks de programas, audiolibros o monedas virtuales para videojuegos, los primeros resultados en aparecer muchas veces son listas de reproducción o episodios de podcast dentro de la plataforma, lo que brinda una mayor confianza a los usuarios.

Aprovechando esta situación, los hackers crean listas de reproducción con nombres atractivos relacionados con videojuegos, software popular o contenido digital gratuito y en la descripción de estas incluyen enlaces en los que ofrecen supuestas descargas gratuitas de programas que realmente son de paga, audiolibros o monedas virtuales.

Sin sospechar del engaño, las víctimas hacen clic y son redirigidas a páginas fraudulentas donde obtienen acceso a archivos maliciosos en formato MSI, los cuales infectan el dispositivo en uso mediante códigos capaces de ejecutar diversas acciones nocivas.

Entre las principales consecuencias encontradas por los investigadores se encuentran la instalación de programas de adware que inundan el dispositivo con ventanas emergentes de publicidad invasiva que redirige a sitios sospechosos, así como de troyanos bancarios diseñados que les permiten a los hackers el acceso a credenciales financieras y de keyloggers, que son programas que registran cada clic en el teclado, para permitir el robo de contraseñas y otros datos personales.

Qué hacer para no ser víctima de un ciberataque vía Spotify

Tras el descubrimiento de este nuevo método de ciberataque, Spotify aseguró que ha tomado medidas para mitigar el problema, eliminando listas de reproducción y podcasts que contenían enlaces sospechosos. “Seguimos reforzando nuestros mecanismos de detección para evitar que contenido malicioso se propague en Spotify”, declaró un portavoz de la compañía. “Agradecemos los reportes de la comunidad para identificar y eliminar cualquier actividad fraudulenta”, añadió al respecto.

A pesar de lo anterior, los especialistas de ESET temen que es probable que los ciberdelincuentes continúen innovando en sus estrategias de hackeo y descubran nuevas formas de evadir los filtros de seguridad de la plataforma de streaming de música, por lo que proporcionaron una serie de recomendaciones para evitar ser víctima de estos engaños.

En primer lugar, los expertos en ciberseguridad recomiendan no hacer clic en enlaces que prometen contenido gratuito dentro de Spotify, ya que la plataforma no es un canal oficial para distribuir software o descargas. Adicionalmente, subrayan que es fundamental denunciar contenido sospechoso directamente en el soporte de la aplicación, mantener actualizado el antivirus y evitar descargar archivos de fuentes no verificadas.

Finalmente, los expertos de ESET enfatizan en que el uso de plataformas confiables para distribuir malware se está convirtiendo en una práctica cada vez más común en el ámbito del cibercrimen, debido a que a medida que grandes buscadores como Google o las redes sociales continúan fortaleciendo sus políticas de seguridad, los hackers están recurriendo a otros servicios de renombre como Spotify o YouTube para evadir los filtros y aumentar sus probabilidades de éxito, por lo que tener una buena educación sigue siendo fundamental para no caer en las trampas de los ciberdelincuentes.